4 minuten leestijd 20 mrt 2020
Tafelvoetbaltafel van onderaf gezien

COVID-19: Vijf stappen als verdediging tegen opportunistische cyberaanvallers

Door

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

4 minuten leestijd 20 mrt 2020

Wereldwijd zijn ondernemingen vanwege de pandemie kwetsbaarder dan ooit voor cyberaanvallen.

Terwijl de COVID-19-pandemie wereldwijd om zich heen grijpt, proberen bedrijven zich aan te passen aan het nieuwe "business as usual" model en zo de gezondheidsrisico's door nauw contact tussen medewerkers onderling en tussen medewerkers en klanten te minimaliseren. Door deze aanpassingen werken miljoenen mensen nu op afstand en spelen interacties tussen klanten en bedrijven zich vooral online af. Deze gedragsverandering brengt extra beveiligingsrisico's met zich mee voor de vertrouwelijkheid, integriteit en beschikbaarheid van essentiële informatiesystemen.

Om klanten van EY te helpen deze risico's te beheersen, hebben wij de belangrijkste risicofactoren en uitdagingen geanalyseerd en schetsen we vijf risicobeperkende maatregelen waarmee ondernemingen zichzelf beter kunnen beschermen tegen cyberaanvallen.

De opkomst van werken op afstand leidt tot hogere risico's

Terwijl IT-afdelingen hard werken om een infrastructuur voor werken op afstand te realiseren, staan ze onder grote druk om adequaat te reageren op het hogere volume aan hulpvragen vanuit de business. Dit kan ertoe leiden dat sommige IT-teams en/of gebruikers de best practices en procedures voor informatiebeveiliging omzeilen. Let met name hierop:

  • Gebruikers die niet tevreden of niet bekend zijn met de officiële, goedgekeurde oplossingen voor telewerken, kunnen hun eigen of "schaduw-software" installeren, dus met niet-beheerde software en apparaten zonder bedrijfsbeveiliging en privacy controls.
  • IT-teams gaan updates voor kritieke assets mogelijk uitstellen om de netwerken stabiel en beschikbaar te houden. De toenemende druk op de bedrijfsmiddelen voor werken op afstand kan ertoe leiden dat er minder downtime beschikbaar is voor het uitvoeren van patches.1
  • Door connectiviteit te creëren tussen resources in verschillende bedrijfsonderdelen wordt segmentatie omzeild, waardoor het netwerk "platter" wordt. Segmentatie zorgt er normaal gesproken voor dat een indringer meerdere beveiligingslagen moet doorbreken om toegang te krijgen tot bedrijfskritische IT-assets.

Het uitvoeren van activiteiten en processen die voorheen door een persoon gedaan werden, is een uitdaging voor de onderneming, die een aanpassing van bedrijfsprocessen en flexibiliteit vereist om organisatie draaiende te houden.

  • Ondernemingen die bepaalde activiteiten alleen op lokale systemen toestaan — zoals activiteiten die speciale bevoegdheden vereisen, zoals het aanmaken of verwijderen van accounts en het wijzigen van beveiligingsinstellingen — worden gedwongen de procedures aan te passen en beheer op afstand mogelijk te maken. Al dit externe verkeer verandert de belasting van het netwerk en vereist intensieve monitoring van beveiligingsanalyses van het externe dataverkeer. Terwijl er nieuwe baselines worden ingesteld, moeten deze analyses doorlopend worden gemonitord en aangepast om afwijkend en potentieel schadelijk netwerkverkeer op te sporen.
  • De sterke toename van het werken op afstand vergroot de werkdruk van IT-supportmedewerkers, doordat thuiswerkers vaak de helpdesk bellen. Die werkdruk vergroot het risico dat authenticatie- of autorisatiestappen worden overgeslagen om het grotere aantal hulpvragen te kunnen opvangen. Verder is fysieke aanwezigheid voor bepaalde IT-diensten niet altijd meer haalbaar. Hierdoor moeten services zoals upgrades van laptops, de uitgifte van certificaten en reparaties van hardware worden uitgesteld.
  • Niet alleen worden werknemers en klanten met deze uitdagingen geconfronteerd, maar ook externe leveranciers of opdrachtnemers voegen een dimensie toe aan de hierboven beschreven risico's.

Vanuit alle hoeken wordt dankbaar gebruik gemaakt van de onzekerheid en publiciteit rondom de pandemie

Cybermisdadigers uit het hele spectrum — , van door vreemde mogendheden gesteunde groepen tot georganiseerde misdaad — maken misbruik van de angst, de onzekerheid en de nieuwsgierigheid van mensen rondom de pandemie om hun bedreigingen, tactieken en targetingstrategieën aan te passen.

  • Volgens meerdere bronnen is er een toename van het aantal phishing-pogingen, malafide sites en aanvallen op zakelijke e-mailsystemen. De schadelijke content kan de vorm aannemen van nepnieuwsberichten, waarschuwingen om voorzorgsmaatregelen te nemen, virusoverzichten, laboratoriumresultaten of berichten van werkgevers.2,3,4,5
  • Cybermisdadigers die gegevens stelen voor afpersing of ransomware-aanvallen en/of aanvallen op de merkreputatie van een onderneming ondernemen, richten zich vooral op organisaties waarvan ze weten dat deze vanwege de pandemie onder grote druk staan.6Ook handelingen of verklaringen van een onderneming die als misplaatst worden beschouwd, kunnen leiden tot "hacktivistische" en/of interne bedreigingen, met als gevolg ontwrichting van IT-systemen of diefstal en openbaarmaking van informatie. 

De drijfveren, middelen en doelstellingen van cybermisdadigers blijven hetzelfde, maar zij hebben nu als extra voordeel dat gebruikers naarstig op zoek zijn naar informatie over de pandemie, waardoor ze soms beveiligingsinstructies, hun alertheid en/of de aanwezige technische controlemaatregelen negeren of omzeilen.

  • Professionele cybercriminelen en beginnende cyberbendes hebben volgens meerdere bronnen informatie over de pandemie gebruikt om gebruikers ertoe te verleiden hun schadelijke tools te downloaden. 7,8,9 Het gaat hierbij onder meer om downloaders, keyloggers, phishing-sites, ransomware en tools voor externe toegang.10,11
  • Het doel van dergelijke groepen blijft hetzelfde: vragen om persoonlijke gezondheidsinformatie, persoonsgegevens, inloggegevens, donaties of losgeld.12
  • Door vreemde mogendheden gesteunde groepen hebben informatie over de pandemie gebruikt om organisaties aan te vallen met hun eigen schadelijke tools.13,14,15Naast het gebruikelijke doel van doorlopende spionage hebben de desbetreffende regeringen deze groepen opgedragen om virusgerelateerde gezondheidsinformatie te verzamelen, waarschijnlijk om de eigen nationale respons op de gezondheidscrisis te kunnen verbeteren.16

Bedrijven moeten veelzijdige risicobeheersing toepassen

  1. Zorg voor centraal beheer en centrale distributie van solide oplossingen voor werken op afstand voor medewerkers, klanten en externe partijen.
  2. Gebruik op rollen (en niet op locaties) gebaseerde oplossingen voor identiteits- en toegangsbeheer, analyse en controle.
  3. Implementeer het twee-ogen-principe voor processen die voorheen persoonlijk verliepen, bijvoorbeeld in de vorm van handmatig tot stand gebrachte telefoongesprekken, een systeem van gedeelde geheimen of andere authenticatiecontroles die passen bij de voorheen persoonlijke processen.
  4. Vermeld links naar officiële bronnen voor informatie over de pandemie om verspreiding van desinformatie binnen de organisatie te voorkomen.17,18,19
  5. Gebruik formele en transparante kanalen voor zakelijke berichtgeving om te benadrukken wat de onderneming rond deze pandemie doet.

Samenvatting

Terwijl ondernemingen zich vanwege COVID-19 aanpassen aan de veranderende werkplekbehoeften belichten wij de belangrijkste risicofactoren waar u op moet letten om de cyberbeveiliging van uw onderneming op peil te houden.

Over dit artikel

Door

Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.